YARA是一个旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本的工具。目前使用YARA的知名软件有赛门铁克、火眼、卡巴斯基、McAfee、VirusTotal等。
使用YARA,你可以基于文本或二进制模式创建恶意软件系列(或任何您想要描述的内容)的描述。每个描述a.k.a规则由一组字符串和一个确定其逻辑的布尔表达式组成。比如:
rule silent_banker : banker{ meta: description = "This is just an example" thread_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c}上述规则说明YARA会将任何包含三个字符串之一的文件报告为silent_banker。这只是一个简单的例子,通过使用通配符,不区分大小写的字符串、正则表达式、特殊运算符和许多其他功能,更多可以在YARA的文档中了解更复杂和强大的规则。
YARA可在Windows、Linux和MacOSX平台上运行,可以通过其命令行界面或从自己的Python脚本中使用yara-python扩展名。
评论